Autoriser l’accès aux API dans votre centre d’API

Vous pouvez configurer des paramètres pour autoriser l’accès aux API dans votre centre d’API. Ces paramètres :

• Activer l’authentification d’API à l’aide de clés API ou d’une autorisation OAuth 2.0
• Associer des méthodes d’authentification spécifiques à des versions d’API spécifiques dans votre inventaire
• Gérer l’authentification auprès des versions d’API par des utilisateurs ou des groupes désignés par le biais de stratégies d’accès
• Permettre aux utilisateurs autorisés de tester les API directement dans le portail du Centre des API

Conditions préalables

• Un Centre d’API dans votre abonnement Azure. Si vous n’en avez pas encore créé, consultez Démarrage rapide : Créer votre centre d’API.

• Inscrivez au moins une API dans votre centre d’API. Pour plus d’informations, consultez Tutoriel : Inscrire des API dans votre inventaire d’API.

• Configurez un environnement et un déploiement pour l’API. Pour plus d’informations, consultez Tutoriel : Ajouter des environnements et des déploiements pour les API.

• Configurez le portail du Centre d’API. Pour plus d’informations, consultez Configurer le portail du Centre des API.

• Un coffre de clés Azure pour stocker des clés API ou des secrets clients OAuth 2.0. Pour connaître les étapes de création d’un coffre de clés, consultez Créer un coffre de clés. Le coffre de clés doit utiliser le modèle d’autorisation RBAC (contrôle d’accès en fonction du rôle) Azure.

• (Pour l’autorisation OAuth 2.0 à l’aide de Microsoft Entra ID) Autorisations pour créer une inscription d’application dans un locataire Microsoft Entra associé à votre abonnement Azure.

Option 1 : Configurer les paramètres pour l’authentification par clé API

Pour une API qui prend en charge l’authentification par clé API, procédez comme suit pour configurer les paramètres dans votre centre d’API.

1. Stocker la clé API dans Azure Key Vault

Pour gérer la clé API en toute sécurité, stockez-la dans Azure Key Vault et accédez au coffre de clés à l’aide de l’identité managée de votre Centre d’API.

Pour stocker la clé API en tant que secret dans le coffre de clés, consultez Définir et récupérer le secret dans Key Vault.

Activer une identité managée dans votre centre d’API

Pour ce scénario, votre centre d’API utilise une identité managée pour accéder au coffre de clés. Selon vos besoins, activez une identité managée affectée par le système, ou une ou plusieurs identités managées affectées par l’utilisateur.

L’exemple suivant montre comment activer une identité managée affectée par le système à l’aide du portail Azure. À un niveau élevé, les étapes de configuration sont similaires pour une identité gérée attribuée à un utilisateur.

1. Dans le portail, accédez à votre Centre API.
2. Dans le menu de gauche, sous Sécurité, sélectionnez Identités managées.
3. Sélectionnez Affectée par le système, puis définissez l’état sur Activé.
4. Cliquez sur Enregistrer.

Attribuer le rôle d’utilisateur des secrets Key Vault à l’identité managée

Attribuez à l’identité managée de votre centre d’API le rôle d’Utilisateur des secrets Key Vault dans votre coffre de clés. Les étapes suivantes utilisent le portail Azure.

1. Dans le portail, accédez à votre coffre de clés.
2. Dans le menu de gauche, sélectionnez Contrôle d’accès (IAM) .
3. Sélectionnez + Ajouter une attribution de rôle.
4. Dans la page Ajouter une attribution de rôle, définissez les valeurs comme suit :
   1. Sous l’onglet Rôle, sélectionnez Utilisateur de secrets Key Vault.
   2. Sous l’onglet Membres , dans Affecter l’accès, sélectionnez Identité managée>+ Sélectionner des membres.
   3. Dans la page Sélectionner les identités managées, sélectionnez l’identité managée affectée par le système de votre centre API que vous avez ajoutée dans la section précédente. Cliquez sur Sélectionner.
   4. Sélectionnez deux fois Vérifier + attribuer.

2. Ajouter une configuration de clé API dans votre centre d’API

1. Dans le portail, accédez à votre Centre API.

2. Dans le menu de gauche, sous Gouvernance, sélectionnez Autorisation (préversion)>+ Ajouter une configuration.

3. Dans la page Ajouter une configuration , définissez les valeurs comme suit :

   Paramètre	Description
   Titre	Entrez un nom pour l’autorisation.
   Description	Si vous le souhaitez, entrez une description de l’autorisation.
   Schéma de sécurité	Sélectionnez Clé API.
   Emplacement de la clé API	Sélectionnez la façon dont la clé est présentée dans les demandes d’API. Les valeurs disponibles sont Header (en-tête de requête) et Query (paramètre de requête).
   Nom du paramètre de clé API	Entrez le nom de l’en-tête HTTP ou du paramètre de requête qui contient la clé API. Exemple : x-api-key
   Informations de référence sur les secrets Key Vault de la clé API	Cliquez sur Sélectionner et sélectionner l’abonnement, le coffre de clés et le secret que vous avez stockés. Exemple : https://<key-vault-name>.vault.azure.net/secrets/<secret-name>

4. Cliquez sur Créer.

Option 2 : Configurer les paramètres pour l’autorisation OAuth 2.0

Pour une API qui prend en charge l’autorisation OAuth 2.0, procédez comme suit pour configurer les paramètres d’authentification dans votre centre d’API. Vous pouvez configurer les paramètres d’un ou des deux flux d’autorisation OAuth 2.0 suivants :

• Flux de code d’autorisation avec PKCE (Proof Key for Code Exchange) : ce flux est recommandé pour authentifier les utilisateurs dans le navigateur, par exemple dans le portail du Centre d’API.
• Flux d’informations d’identification du client : ce flux est recommandé pour les applications qui ne nécessitent pas les autorisations d’un utilisateur spécifique pour accéder aux données.

1. Créer une application OAuth 2.0

Pour l’autorisation OAuth 2.0, créez une inscription d’application auprès d’un fournisseur d’identité tel qu’un locataire Microsoft Entra associé à votre abonnement Azure. Les étapes de création exactes dépendent du fournisseur d’identité que vous utilisez.

L’exemple suivant montre comment créer une inscription d’application dans l’ID Microsoft Entra.

1. Connectez-vous au Portail Azure avec un compte disposant d’autorisations suffisantes dans le locataire.
2. Accédez à Microsoft Entra ID>+ Nouvelle inscription.
3. Dans la page Inscrire une application , entrez les paramètres d’inscription de votre application :
   1. Dans Nom, entrez un nom explicite pour l’application.
   2. Dans les types de comptes pris en charge, sélectionnez une option qui convient à votre scénario, par exemple, Comptes dans cet annuaire organisationnel uniquement (locataire unique).
   3. (Pour le flux de code d’autorisation) Dans l’URI de redirection, sélectionnez Application monopage (SPA) et définissez l’URI. Entrez l’URI de votre déploiement du portail du Centre d’API, sous la forme suivante : https://<service-name>.portal.<location>.azure-api-center.ms. Remplacez <service name> et <location> par le nom de votre centre d’API et l’emplacement où il est déployé, par exemple : https://myapicenter.portal.eastus.azure-api-center.ms
   4. Sélectionnez Inscrire.
4. Dans le menu de gauche, sous Gérer, sélectionnez Certificats et secrets, puis sélectionnez + Nouveau secret client.
   1. Entrez une description.
   2. Sélectionnez une option pour Expires.
   3. Sélectionnez Ajouter.
   4. Copiez la Valeur du secret client avant de quitter la page. Vous en aurez besoin dans la section suivante.
5. Si vous le souhaitez, ajoutez des étendues d’API dans votre inscription d’application. Pour plus d’informations, consultez Configurer une application pour exposer une API web.

Lorsque vous configurez l’autorisation OAuth 2.0 dans votre centre d’API, vous aurez besoin des valeurs suivantes à partir de l’inscription de l’application :

• ID d’application (client) à partir de la page Vue d’ensemble de l’inscription de l’application et de la clé secrète client que vous avez copiée précédemment.
• Les URL des points de terminaison suivantes sur la page Vue d’ensemble>Points de terminaison de l'enregistrement d’application :
  • Point de terminaison d’autorisation OAuth2.0 (v2) : point de terminaison d’autorisation pour l’ID Microsoft Entra
  • Point de terminaison de jeton OAuth 2.0 (v2) : point de terminaison de jeton et point de terminaison d’actualisation du jeton pour Microsoft Entra ID
• Toutes les étendues d’API configurées dans l’inscription de l’application.

2. Stocker la clé secrète client dans Azure Key Vault

Pour gérer le secret en toute sécurité, stockez-le dans Azure Key Vault et accédez au coffre de clés à l’aide de l’identité managée de votre centre d’API.

Pour stocker la clé API en tant que secret dans le coffre de clés, consultez Définir et récupérer le secret dans Key Vault.

Activer une identité managée dans votre centre d’API

Pour ce scénario, votre centre d’API utilise une identité managée pour accéder au coffre de clés. Selon vos besoins, activez une identité managée affectée par le système, ou une ou plusieurs identités managées affectées par l’utilisateur.

L’exemple suivant montre comment activer une identité managée affectée par le système à l’aide du portail Azure. À un niveau élevé, les étapes de configuration sont similaires pour une identité gérée attribuée à un utilisateur.

1. Dans le portail, accédez à votre Centre API.
2. Dans le menu de gauche, sous Sécurité, sélectionnez Identités managées.
3. Sélectionnez Affectée par le système, puis définissez l’état sur Activé.
4. Cliquez sur Enregistrer.

Attribuer le rôle d’utilisateur des secrets Key Vault à l’identité managée

Attribuez à l’identité managée de votre centre d’API le rôle d’Utilisateur des secrets Key Vault dans votre coffre de clés. Les étapes suivantes utilisent le portail Azure.

1. Dans le portail, accédez à votre coffre de clés.
2. Dans le menu de gauche, sélectionnez Contrôle d’accès (IAM) .
3. Sélectionnez + Ajouter une attribution de rôle.
4. Dans la page Ajouter une attribution de rôle, définissez les valeurs comme suit :
   1. Sous l’onglet Rôle, sélectionnez Utilisateur de secrets Key Vault.
   2. Sous l’onglet Membres , dans Affecter l’accès, sélectionnez Identité managée>+ Sélectionner des membres.
   3. Dans la page Sélectionner les identités managées, sélectionnez l’identité managée affectée par le système de votre centre API que vous avez ajoutée dans la section précédente. Cliquez sur Sélectionner.
   4. Sélectionnez deux fois Vérifier + attribuer.

3. Ajouter une autorisation OAuth 2.0 dans votre centre d’API

1. Dans le portail, accédez à votre Centre API.

2. Dans le menu de gauche, sous Gouvernance, sélectionnez Autorisation (préversion)>+ Ajouter une configuration.

3. Dans la page Ajouter une configuration , définissez les valeurs comme suit :

   

   Remarque

   Configurez les paramètres en fonction de l’inscription d’application que vous avez créée précédemment dans votre fournisseur d’identité. Si vous utilisez l’ID Microsoft Entra, recherchez l’ID client dans la page Vue d’ensemble de l’inscription de l’application et recherchez les points de terminaison d’URL dans la pagePoints de terminaison>.

   Paramètre	Description
   Titre	Entrez un nom pour l’autorisation.
   Description	Si vous le souhaitez, entrez une description de l’autorisation.
   Schéma de sécurité	Sélectionnez OAuth2.
   ID du client	Entrez l’ID client (GUID) de l’application que vous avez créée dans votre fournisseur d’identité.
   Clé secrète client	Cliquez sur Sélectionner et sélectionner l’abonnement, le coffre de clés et la clé secrète client que vous avez stockées. Exemple : https://<key-vault-name>.vault.azure.net/secrets/<secret-name>
   URL d’autorisation	Entrez le point de terminaison d’autorisation OAuth 2.0 pour le fournisseur d’identité. Exemple pour l’ID Microsoft Entra : https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize
   URL du jeton	Entrez le point de terminaison de jeton OAuth 2.0 pour le fournisseur d’identité. Exemple pour l’ID Microsoft Entra : https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   URL d’actualisation	Entrez le point de terminaison d’actualisation du jeton OAuth 2.0 pour le fournisseur d’identité. Pour la plupart des fournisseurs, identique à l’URL du jeton Exemple pour l’ID Microsoft Entra : https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token
   Flux OAuth2	Sélectionnez un ou les deux flux OAuth 2.0 que vous souhaitez utiliser. Les valeurs disponibles sont le code d’autorisation (PKCE) et les informations d’identification du client.
   Étendues	Entrez une ou plusieurs étendues d’API configurées pour votre API, séparées par des espaces. Si aucun périmètre n’est configuré, entrez .default.

4. Sélectionnez Créer pour enregistrer la configuration.

Ajouter une configuration d’authentification à une version d’API

Après avoir configuré les paramètres d’une clé API ou d’un flux OAuth 2.0, ajoutez la clé API ou la configuration OAuth 2.0 à une version d’API dans votre centre d’API.

1. Dans le portail, accédez à votre Centre API.
2. Dans le menu de gauche, sous Ressources, sélectionnezAPI.
3. Sélectionnez une API à laquelle vous souhaitez associer la configuration d’autorisation.
4. Dans le menu de gauche, sous Détails, sélectionnez Versions.
5. Sélectionnez la version de l’API à laquelle vous souhaitez ajouter la configuration d’authentification.
6. Dans le menu de gauche, sous Détails, sélectionnez Gérer l’accès (préversion)>+ Ajouter une authentification.
7. Dans la page Ajouter une authentification , sélectionnez une configuration d’authentification disponible que vous souhaitez associer.
8. Cliquez sur Créer.

Gérer l’accès par des utilisateurs ou des groupes spécifiques

Vous pouvez gérer l’accès par des utilisateurs ou des groupes spécifiques de votre organisation à la configuration d’authentification d’une version d’API. Pour ce faire, configurez une stratégie d'accès qui affecte des utilisateurs ou des groupes au rôle de Lecteur d'accès aux informations d'identification du Centre API, appliqué à des configurations d’authentification spécifiques dans la version de l’API. Cela est utile, par exemple, si vous souhaitez autoriser uniquement des utilisateurs spécifiques à tester une API dans le portail du Centre d’API à l’aide d’une clé API ou d’un flux OAuth 2.0.

1. Dans le portail, accédez à votre Centre API.

2. Accédez à une version d’API à laquelle vous avez ajouté une configuration d’authentification (voir la section précédente).

3. Dans le menu de gauche, sous Détails, sélectionnez Gérer l’accès (préversion).

4. Sélectionnez la liste déroulante Modifier les stratégies d’accès à la fin de la ligne pour la configuration d’authentification dont vous souhaitez gérer l’accès.

5. Dans la page Gérer l’accès , sélectionnez + Ajouter > des utilisateurs ou + Ajouter des > groupes.

6. Recherchez et sélectionnez les utilisateurs (ou groupes) que vous souhaitez ajouter. Vous pouvez sélectionner plusieurs éléments.

7. Cliquez sur Sélectionner.

Tester l’API dans le portail du Centre des API

Vous pouvez utiliser le portail du Centre des API pour tester une API que vous avez configurée pour l’authentification et l’accès utilisateur.

1. Dans le portail, accédez à votre Centre API.

2. Dans le menu de gauche, sous Portail du Centre d’API, sélectionnez Paramètres du portail.

3. Sélectionnez Afficher le portail du Centre d’API.

4. Dans le portail du Centre des API, sélectionnez une API que vous souhaitez tester.

5. Sélectionnez une version de l’API sur laquelle une méthode d’authentification est configurée.

6. Sous Options, sélectionnez Afficher la documentation.

7. Sélectionnez une opération dans l’API, puis essayez cette API.

8. Dans la fenêtre qui s’ouvre, passez en revue les paramètres d’authentification. Si vous avez accès à l’API, sélectionnez Envoyer pour essayer l’API.

9. Si l’opération réussit, vous voyez le 200 OK code de réponse et le corps de la réponse. Si l’opération échoue, un message d’erreur s’affiche.

Contenu connexe

• Configurer le portail du Centre des API
• Activer l’affichage du portail Du Centre des API Azure dans Visual Studio Code
• Authentification et autorisation des API dans le service Gestion des API Azure